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Einrichtung und Verfahren zur Beurteilunq und Erzieluna von 
Sicherheit bei Svstemen sowie entsprechendes 
ComDuterproaramm 

Stand der Technik 

Die Erfindung betrifft eine Einrichtung und ein Verfahren 
zur Beurteilung der Sicherheit von Systeinen, insbesondere im 
Kraf tf ahrzeug, in einer fruhen Phase der Produktentwicklung 
sowie ein entsprechendes Computerprogramm bzw. 
Computerprogrammprodukt gemafe der Oberbegriffe der 
unabhangigen Anspriiche. Das Verfahren gemafi dem Oberbegriff 
des unabhangigen Anspruches entsprechender Kategorie wird 
CARTRONIC® basierte Sicherheitsanalyse (CSA) genannt und 
entsprechend von der Einrichtung bzw. bei Ausftihrung des 
Computerprogrammes durchgef uhrt . 

Die Herausforderung nicht nur der Automobilindustrie ist es, 
steigende Anf orderungen an Sicherheit und Zuverlassigkeit 
bei gleichzeitig verkurzten Produktentwicklungszyklen zu 
erf -alien. Diese Randbedingungen machen es notwendig 
Sicherheitsbetrachtungen bereits sehr frtih wahrend der 
Produktentwickl\ang zu berucksichtigen. Eine kurze Zeitspanne 
vom Beginn der Planung bis zur Markteinf iihrung stellt einen 
entscheidenden Wettbewerbsvorteil dar, um ein Produkt vor 
den Mitbewerbern am Markt zu etablieren. Die 
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Berucksichtigung einer Sicherheitsanalyse in einer fruhen 
Phase der Produktentwicklung soil langwierige Iterationen 
zum Testen und Verbessern des Produkts in einer 
f ortgeschrittenen Phase der Produktentwicklung reduzieren 
und im Idealfall vermeiden. In einer fruhen 
Entwicklungsphase ist die Betrachtungsweise eines Systems 
abstrakt, d.h. es ist bekannt welche Funktionen das System 
erfullen soli und wie diese Funktionen interagieren. Es ist 
jedoch noch nicht festgelegt, wie diese Funktionen 
realisiert werden (z.B. Hardware, Software, Mechanik) . Diese 
abstrakte Sichtweise kann durch das automobilhersteller- und 
zulief ererneutrale Strukturierungskonzept CARTRONIC® 
dargestellt werden. Dieses Strukturierungskonzept bildet die 
Grundlage fur die CARTRONIC® basierte Sicherheitsanalyse. 

Die zunehmende Komplexitat insbesondere des Systems 
Kraf tf ahrzeug liegt einerseits in der zunehmenden 
Komplexitat und Anzahl der einzelnen Subsysteme, wird aber 
auch maiSgeblich gepragt durch deren steigende Vernetzung. 
Die Beherrschbarkeit der Komplexitat des Systems 
Kraf tfahrzeug wird erreicht durch die Strukturierung der 
Subsysteme nach CARTRONIC® unter Beriicksichtigung der 
Interaktionen mit anderen Subsystemen. 

Das CARTRONIC® Strukturierungskonzept (siehe Bertram, T.; 
Bitzer, R. ; Mayer, R. ; Volkhart, A.; 1998 7 CARTRONIC - An 
open architecture for networking the control systems of an 
automobile, Detroit/Michigan USA, SAE 98200) basiert auf 
einem objektorientierten Ansatz. Das System Kraf tfahrzeug 
wird in logische Funktionseinheiten strukturiert, die iiber 
standardisierte Schnittstellen miteinander kommunizieren. 



CARTRONIC® ist ein Strukturierungskonzept fur alle 
Steuerungs- und Regelungssysteme eines Fahrzeugs . Das 
Konzept enthalt modulare und erweiterbare Architekturen fur 
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„Funktion* und „Sicherheit * auf der Basis vereinbarter 
formaler Strukturierungs- und Modellierungsregeln . 

Unter einer Architektur ist hier sowohl die 

Strukturierungssystematik (Regeln) zu verstehen als auch deren 
Umsetzung in eine konkrete Struktur. Die Funktionsarchitektur 
umfasst samtliche im Fahrzeug vorkommenden Steue rungs- und 
Regelungsaufgaben. Die Aufgaben des Systemverbunds werden sog. 
funktionalen Komponenten zugeordnet, die Schnittstellen der 
Komponenten (funktionale Schnittstellen) und ihr Zusammenwirken 
werden festgelegt. Die Sicherheitsarchitektur erweitert die 
Funktionsarchitektur urn Elemente, die einen sicheren Betrieb des 
Systemverbunds garantieren. 

Eine weitere Darst el lungs form ergibt sich durch Abblidung in UML 
(Unified Modelling Language) , was au&erdem eine Portierung auf 
ein Computer system erleichtert . Die Abbildung einer CARTRONIC®- 
Funktionsstruktur in ein UML-Modell ist beschrieben in (Torre 
Flores, P.; Lapp, A.; Hermsen, W. ; Schirmer, J.; Walther, M. ; 
Bertram, T. ; Petersen, J.; 2001, Integration of a structuring 
concept for vehicle control systems into the software 
development process using UML modeling methods, Detroit/Michigan 
USA, SAE 2001-01-0066) . 

Das Grundgerust fur die Strukturierung bildet die funktionale 
Komponente. Eine funktionale Komponente reprasentiert eine 
Funktion im System Kraf tf ahrzeug. Zu Guns ten einer kompakten 
Darstellung wird im folgenden anstelle des Begriffs funktionale 
Komponente lediglich der Begriff Komponente verwendet. Die 
Komponenten konnen im Laufe der Entwicklung verf einer t 
(detailliert) werden, wobei die ubergeordnete Funktion als Hulle 
erhalten bleibt. Die ubergeordnete Funktion wird innerhalb der 
Verfeinerung (Detaillierung) wiederum aus Komponenten 
zusammengesetzt, die einzelne Teile der abergeordneten Funktion 
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reprasentieren. Bei dem Strukturierungskonzept werden drei 
verschiedene Typen von Komponenten unterschieden: 

□ Komponenten mit iiberwiegend koordinierenden und verteilenden 
Aufgaben, 

5 □ Komponenten mit hauptsachlich operativen und ausfiihrenden 

Aufgaben und 

□ Komponenten, die ausschlieSlich Informationen generieren und 
' bereitstellen. 
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Bei den Kommunikationsbeziehungen wird zwischen einem Auf trag 
(mit Ruckmeldung) , einer Abfrage (mit Hinweis) und einer 
Anforderung unterschieden. Den Auf trag kennzeichnet die Pflicht 
zur Ausfuhrung; fur den Fall der Nichterfullung muss der 
Auf tragnehmer eine Riickmeldung an den Auftraggeber absetzen, die 
den Grund fur die Nichtausfuhrung beschreibt. Die Abfrage dient 
der Beschaffung von Informationen fur eine Auf trags ausfuhrung. 
Fur den Fall, dass eine Komponente die abgefragte Information 
nicht bereitstellen kann, gibt sie einen Hinweis an die fragende 
Komponente. Eine Anforderung beschreibt einen „Wunsch" , dass 
eine Funktion von einer anderen Komponente ausgefiihrt wird. An 
die Anforderung ist allerdings nicht die Pflicht zur Erfullung 
gekoppelt, was beispielsweise bei konkurrierenden Anf orderungen 
Berucksichtigung findet. Tabelle 1 stellt die Strukturelemente 
zusammenf assend dar. 
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Tabelle 1 



STRUKTURELEMENT 


KURZBESCHREIBUNG 


Funktionale 
Komponente 
( kur z : Komponente ) 


Funktionseinheit mit klar definierter 
Aufgabe 


System 


Ein System besteht aus mehreren funktio- 
nalen Komponenten bzw. (Sub-) Systemen. j 
(„Sicht von innen nach au£en n ) . 
Die detaillierte funktionale Komponente j 
leitet die Kommunikationsbeziehungen an die 
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Teilkomponenten weiter, wie dies eine „ist 
Teil von" -Beziehung ausdruckt. („Sicht von 
auSen nach innen) 


Auttrag iniit 
Ruckmeldung) 


Handlunasanweisung an eine funktionale 
Komponente mit der Pflicht zur 
Ausfiihrung. 


Abfrage (mit 
Hinweis) 


Informationsabfrage an eine funktionale 
Komponente . __ 


Anf orderung 


A-n -Fn-rHor-Tincr an eine funktionale 
Komponente ohne Ausftihrungsverpf lichtung 


Regeln 


Regeln zu: 

□ Kommunikationsbeziehungen 

□ Modellierungsmustern 



Die Strukturierungs regeln beschreiben erlaubte 
Kommunikationsbeziehungen innerhalb der Architektur des 
Gesamtf ahrzeugs . Es werden Strukturierungsregeln unterschieden, 
welche die Kommunikationsbeziehungen auf der gleichen 
Abstraktionsebene und in hShere und tiefere Ebenen unter 
Berucksichtigung angegebener Randbedingungen festlegen. Femer 
klaren die Strukturierungsregeln die Weiterleitung von 
Kommunikationsbeziehungen hinein in die Detaillierung einer 
anderen Funktionalitat . 

Eine nach den Strukturierungs- und Modellierungsregeln 
entwickelte Struktur zeichnet sich durch folgende Merkmale aus: 

□ vereinbarte, einheitliche Strukturierungs- und 
Modellierungsregeln auf alien Abstraktionsebenen, 

□ hierarchische Auf tragsf ltisse, 

□ hohe Eigenverantwortung der einzelnen Komponenten, 

□ Bedienelemente, Sensoren und Schatzer sind gleichwertige 
Inf ormationsgeber und eine 

□ Kapselung, die jede Komponente fur die iibrigen Komponenten so 
sichtbar wie n6tig und so unsichtbar wie moglich darstellt. 
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Es stellt sich somit die Aufgabe ein Verfahren und eine 
Einrichtung sowie ein entsprechendes Computerprogramm und 
Computerprogrammprodukt zu generieren, welches eine verbesserte 
Sicherheitsanalyse und Erzeugung einer verbesserten 
Sicherheitsstruktur wenigstens eines Systems, insbesondere in 
einem Kraf tf ahrzeug ermoglicht. 



Vorteile der Erfindung 



Die Erfindung betrifft eine Einrichtung, insbesondere ein 
Computersystem, und ein Computerprogramm oder 

Computerprogrammprodukt, sowie ein Verfahren zur Durchfiihrung 
einer Sicherheitsanalyse bei Systemen, insbesondere in einem 
Kraf. tf ahrzeug, wobei die Systeme oder das wenigstens eine System 
aus mehreren Komponenten bestehen, zwischen denen 
Kommunikationsbeziehungen bestehen, wobei die Komponenten und 
deren Kommunikationsbeziehungen eine Funktionsstruktur der 
Systeme oder des wenigstens einen Systems bilden, wobei 
vorteilhafter Weise Fehler in Abhangigkeit von der 
Funktionsstruktur ermittelt werden und diese 

Fehlerabhangigkeiten beziiglich der Funktionsstruktur ausgewertet 
werden . 



In einer Aus fuhrungs form zeigt die Erfindung eine Einrichtung, 
insbesondere ein Computersystem, und ein Computerprogramm oder 
Computerprogrammprodukt sowie ein Verfahren zur Erzielung einer 
vorgebbaren Sicherheitsstuf e bei Systemen, insbesondere in einem 
Kraf tf ahrzeug, wobei die Systeme oder wenigstens ein System aus 
mehreren Komponenten bestehen, zwischen denen 

Kommunikationsbeziehungen bestehen, wobei die Komponenten und 
deren Kommunikationsbeziehungen eine Funktionsstruktur der 
Systeme bilden, wobei Fehler in Abhangigkeit von der 
Funktionsstruktur ermittelt werden und diese 
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Fehlerabhangigkeiten bezuglich der Funktionsstruktur ausgewertet 
werden mit folgenden Schritten: 

a) Verfolgung der Fehlerabhangigkeiten in der Funktionsstruktur 
und Generierung von Fehlerpfaden sowie Ermittlung von globalen 
Auswirkungen der Fehler, 

b) Bewertung der globalen Auswirkungen in Abhangigkeit 
vorgebbarer Sicherheitsstuf en, 

c) Ermittlung von Fehlern, welche ein Fehlverhalten einer 
Komponente oder einer Kommunikationsbeziehung bewirken, 

d) Zuordnung des Fehlverhaltens einer Komponente oder einer 
Kommunikationsbeziehung zu den globalen Auswirkungen 

e) Ermittlung von MaSnahmen zur Fehlererkennung und/oder 
Fehlerbeherrschung , 

f ) Ermittlung der erzielbaren Sicherheitsstuf e und Vergleich der 
ermittelten Sicherheitsstuf e mit der zu erzielenden 
Sicherheitsstuf e und 

g) in Abhangigkeit von dem Vergleich emeuter Verfahr ens start 
bei a), bis die zu erzielende Sicherheitsstuf e erzielt ist. 

Vorteilhafter Weise erfolgt damit die Durchftihrung einer 
Sicherheitsanalyse in einer fruhen Phase der Produktentwicklung, 
urn Problembereiche rechtzeitig zu erkennen und die fruhzeitige 
Integration von Sicherheitsmafcnahmen in die Funktionsstruktur 
(„safety through design" ) . 

Die erfindungsgemaSe Sicherheitsanalyse ist somit zweckmaSiger 
Weise auch als ein iterativer Analyse- und Verbesserungsprozess 
dargestellt . 

Das Verfahren zur Beurteilung der Sicherheit von Systemen kann 
vorteilhafter Weise auf Basis von CARTRONIC^Funktionsstrukturen 
bzw. von CARTRONIC*-UML-Model 1 en dargestellt werden, lasst sich 
aber auch auf andere Systemmodellierungen iibertragen. 
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Das Verfahren wird zweckmaSiger Weise mittels der CSA-Tabelle 
durchgef uhrt . Durch die CSA-Tabelle werden globale 
Fehlerauswirkungen identif iziert und bewertet. Sie dokumentiert 
Fehlerabhangigkeiten von Komponenten und 
Kommunikationsbeziehungen. Ein Fehlverhalten wird dabei 
verursacht durch Funktionsstruktur-Fehler (FS-Fehler) in 
Komponenten oder Kommunikationen. Kommunikationsf ehler 
(Auftrage, Anf orderungen) werden bei der Zielkomponente der 
Kommunikation berucksichtigt. FS-Fehler bei Abfragen werden bei 
der Quellkomponente der Kommunikation berucksichtigt . 



Ein Fehlverhalten der Komponenten wird den globalen Auswirkung 
zugeordnet. Dadurch erreicht man nicht nur eine Beurteilung 
globaler Zustande, sondern auch welche Komponenten der 
Funktionsstruktur dafur verantwortlich sind. 

Das Verfahren ist in einer speziellen Ausfiihrungsf orm in einen 
C ARTRONI C* basierten Entwicklungsprozess integriert. Dadurch 
wird ein formales, systematisches Vorgehen gefSrdert. 



Die SicherheitsmaJSnahmen werden insbesondere in ein CARTRONIC - 
UML-Modell abgebildet. Dies ermoglicht eine formale Verifikatic 
gegenuber festgelegten Produktanf orderungen oder der 
Produktspezifiktion. Eine Validierung der Produktspezif ikation 
ist bei dieser Vorgehensweise auch moglich. 



Somit kann vorteilhaf t die Durchfuhrung weiterftihrender 
quantitativer Sicherheitsbetrachtungen auf Grundlage der CSA- 
Tabelle, der CARTRONIC*-Funktionsstruktur oder des CARTRONIC 8 - 
UML-Modells inklusive SicherheitsmaSnahmen erzielt werden. 
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Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich 
aus der Beschreibung und/oder den Merkmalen der Anspriiche. 



Zeichnimg 

Die Erf indung wird nachfolgend anhand der durch die Figuren 
dargestellten Zeichnungen und Tabellen naher erlautert. 

Dabei zeigt Figur 1 das Verfahren bzw. die Vorgehensweise bei 
der Sicherheitsanlayse. 

Figur 2 zeigt die CARTRONIC'-Funktionsstruktur eines 
beispielhaft betrachteten Bremssystems . 

Figur 3 stellt ein Beispiel fur eine UML-Modellierung der 
CARTRONIC'-Funktionsstruktur nach Figur 2 dar. 

Figur 4 zeigt den Tabellenkopf der CSA-Tabelle mit den globalen 
Auswirkungen dar. 

Figur 5 zeigt die Zuordnung der Fehlerauswirkungen zu den 
Sicherheitsstufen in einem FluSgraphen. 

Figur 6 zeigt beispielhaft eine Bewertung der globalen 
Auswirkungen . 



Figur 7 zeigt die Fehlerf ortpf lanzung in der Funktionsstruktur 
bzw. die Zuordnung von FS-Fehlern zu den globalen Auswirkungen. 
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Figur 8 bestehend aus den Einzelf iguren 8a, 8b, 8c und 8d zeigt 
die CSA-Tabelle, also die Sicherheitstabelle, gemaS dem Beispiel 
nach Figur 2 mit den entsprechenden Kennzeichen. 

Figur 9 zeigt die Einordnung der CSA in einen 
Entwicklungsprozess , insbesondere nach V-Modell 



Beschreibung der Ausfiihrungsbeispiele 

Die im folgenden beschriebene Sicherheitsanalyse beruht auf der 
CARTRONIC*- Funktiohsstruktur bzw. dem CARTRONIC°-UML-Modell des 
betrachteten Systems. Das CARTRONIC*-UML-Modell ist die 
Abbildung einer CARTRONICf-Funktionsstruktur in die UML (Unified 
modeling language) . Durch die Abbildung in die UML erhalt man 
eine f ormalisierte und genauer spezif izierte Darstellung, welche 
eine automatisierte Realisierung der Erfindung erleichtert. Die 
Abbildung einer CARTRONIC*-Funktionsstruktur in ein UML-Modell 
ist beschrieben in (Torre Flores, P.; Lapp, A.; Hermsen, W. ; 
Schirmer, J.; Walther, M. ; Bertram, T.; Petersen, J.; 2001, 
integration of a structuring concept for vehicle control systems 
into the software development process using UML modeling 
methods, Detroit/Michigan USA, SAE 2001-01-0066) . 

Die CARTRONIC* basierte Sicherheitsanalyse ist ein Verfahren zur 
systematischen Sicherheitsanalyse auf abstrakter Systemebene und 
untersttitzt somit das Entwicklungskredo „ safety through 
design" . Die in einer fruheren Verof f entlichung beschriebene 
Vorgehensweise zur CARTRONIC* basierten Sicherheitsanalyse 
(Bertram, T . ; Dominke, -P . ; Muller, B., 1999, The Safety-Related 
Aspect of CARTRONIC, Detroit /Michigan USA, SAE' 99, Session Code 
PC 26) wird grundlegend Oberarbeitet und erweitert urn die 
Analyse struktureller Fehlerabhangigkeiten. Durch die Verwendung 
des Verfahrens in einer fruhen Entwicklungsphase k6nnen Fehler 
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und deren Ursachen abstrakt beschrieben werden, z.B. „Fehler 
vorhanden* oder „Fehler nicht vorhanden" . Das Verfahren stellt 
somit eine Abstraktion der FMEA (Failure Mode and Effects 
Analysis oder Fehler-MSglichkeits- und Einf luS-Analyse) dar, 
welches erweitert ist urn die Analyse struktureller 
Fehlerabhangigkeiten. Die FMEA ist dabei ein anerkanntes 
methodisches Verfahren zur Analyse, Bewertung und Dokumentation 
von Systemen, Bauteilen und Herstellungsprozessen und dient 
vornehmlich der Fehlervermeidung . Die Intention der CSA ist 
nicht eine FMEA zu ersetzen, sondern lediglich in einer fruhen 
Entwicklungsphase die Systementwickler bei der Identif ikation 
von potentiellen Gef ahrenstellen zu unter sttitzen . 

Zunachst werden wichtige Begriffe definiert, bevor die Erfindung 
dann anhand eines Beispiels erlautert wird. 

Definition 1 (globale Auswirkungen) 

Globale Auswirkungen sind physikalische Effekte, die sich 
durch Aktuatoren auf das Gesamt system Kraf tf ahrzeug 
auswirken. Sie werden von Sensorik (oder auch einem 
Fahrzeugfuhrer) bemerkt durch Funktionsverlust (z.B. 
Versagen des Br ems systems) oder Komf orteinbuBe (z.B. durch 
Abschaltung von Assistenzsystemen wie beispielsweise 
Adaptive Cruise Control) . 

Definition 2 (Funktionsstruktur-Fehler) 

Funktionsstruktur-Fehler (FS-Fehler) sind Fehler, die ein 
Fehlverhalten einer Komponente oder einer Kommunikation 
bewirken . 

Definition 3 (Funktionsstruktur-Fehler-Ursachen) 

Funktionsstruktur-Fehler-Ursachen (FS-Fehler-Ursachen) sind 
Grttnde fur ein Fehlverhalten einer Komponente. Der Grund fttr 
ein Fehlverhalten einer Komponente liegt im Vorhandensein 
von FS-Fehlern. FS-Fehler konnen weiter unterteilt werden in 
verfeinerte Fehlerarten. Die verfeinerten Fehlerarten sind 
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dann wiederum die Ursache fur die FS-Fehler. Die 
verfeinerten Fehlerarten konnen sein: 

Komponent enfehler : 
Komponente tot 

Komponente berechnet falsche Werte 

Komponente ist unkontrolliert aktiv 

Komponente generiert Ergebnis zur falschen Zeit 

Kommunikationsf ehler : 
Kommunikation unterbrochen 

Kommunikation liefert falsche Information 
Kommunikation ist unkontrolliert aktiv 
Kommunikation liefert Information zur falschen Zeit 
Kommunikation ist f ehlgeleitet 

Figur 1 zeigt die Vorgehensweise der C ARTRONI basierten 
Sicherheitsanalyse. Das Verfahren kann f olgendermafcen gegliedert 
werden : 

Schritt 1: Globale Auswirkungen identif izieren auf Basis 

der CARTRONIC®-Funktionsstruktur bzw. des 

CARTRONIC®-UML-Model 1 s 
Schritt 2: Globale Auswirkungen bewerten durch 

Sicherheitsstuf en (SL) 
Schritt 3: Analyse von FS-Fehler-Ursachen (vgl. Definition 

3) , d.h. Fehler von Komponenten oder 

Kommunika t i onsbe z i ehungen analy s i er en 
Schritt 4: Zuordnung eines Fehlverhaltens einer Komponente 

zu den globalen Auswirkungen 
Schritt 5: Mafcnahmen zur Fehler erkennung und/oder 

Beherrschung ermitteln 
Schritt 6: Erstellung bzw. Erganzung einer C ARTRONI C* 8 - 

S i cherhe i t s s t ruk tur 
Schritt 7: Verifikation der resultieren Funktions- und 

Sicherheitsstruktur unter Sicherheitsaspekten 
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Im folgenden wird die Vorgehensweise der CARTRONIC* basierten 
Sicherheitsanalyse anhand eines Beispiels beschriebenen . Als 
Beispiel wurde ein vereinf achtes Bremssystem gewah.lt. Die 
CARTRONIC°-Funktionsstruktur und das CARTRONIC e -UML Modell des 
vereinf achten Brems systems ist in Figur 2 und Figur 3 
dargestellt. Das Beispielsystem besteht aus den Komponenten 
Moment enverteiler, Vortrieb, Bremssystem, 

Bremssystemkoordinator, Bremsaktuator und Bremslicht. In der 
logischen, hierarchischen Funktionsstruktur von C ARTRONI C* 
bef inden sich die Komponenten Bremssystemkoordinator und 
Bremsaktuator in der Detaillierung des Bremssystems . Die 
Komponenten Moment envert ei I er , Vortrieb und Bremssystem sind 
Detaillierungen von Vortrieb und Bremse. In der 

Funktionsstruktur ist Vortrieb und Bremse eine Detaillierung der 
Fahrzeugbewegung. Die Komponente Bremslicht befindet sich in der 
Detaillierung von Licht und Lichtzeichen , das eine Detaillierung 
von AuSenbeleuchtung ist. Diese ist wiederum eine Verfeinerung 
der Komponente Sichtbarkeit und Signalisierung in Karosserie und 
Innenraum. Die Detaillierungen von Fahrzeugbewegung und 
Karosserie und Innenraum sind in der Fahrzeugebene platziert. 
Die Fahrzeugebene ist die oberste Ebene der CARTRONlC*- 
Funktionsstruktur. Der Momentenverteiler ist dafur zustandig die 
MomentenwOnsche des Fahrzeugfiihrers zu verteilen. Die 
Komponenten Bremssystemkoordinator und Vortrieb fordern Momente 
beim Momentenverteiler uber die Kommunikationen Rl und R2 an. 
Liegt nur eine Anforderung vom Vortrieb vor, so fragt der 
Momentenverteiler minimal und maximal zulassige Momentenwerte 
von der Komponente Vortrieb durch die Kommunikation II ab und 
sorgt dann f iir die Umsetzung durch den Auf trag 02 . Liegt nur 
eine Anforderung vom Bremssystem vor, dann wird diese durch den 
Auf trag 01 realisiert. Liegen Anf orderungen von Vortrieb und 
Bremssystem vor, so hat das Bremssystem vorrang. Die Komponente 
Bremssystemkoordinator in der Detaillierung des Bremssystems 
sorgt durch den Auftrag 03 an den Bremsaktuator fur die 
Umsetzung der Momente und mit der Anforderung R3 fur die 
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Ansteuerung des Brenislichts, damit wird der Fahrerwunsch 
nachfolgenden Fahrzeugen signalisiert . 

Die Erkenntnisse der CARTRONlC basierten Sicherheitsanalyse 
werden in Form einer Tabelle, der CSA-Tabelle, ubersichtlicht 
zusainmengefasst und gespeichert. 

Durch die CSA-Tabelle erreicht man eine Zuordnung von einem 
Fehlverhalten einer einzelnen Komponente zu Fehlerabhangigkeiten 
innerhalb der Funktionsstruktur . Die in der CSA-Tabelle 
dokumentierten FS-Fehler konnen zu den oben angegebenen 
Fehlerarten verfeinert werden. Die verfeinerten Fehlerarten sind 
auf abstrakter Systemebene interpretierbar als Ursache fur die 
FS-Fehler. Des weiteren werden die „intemen Auswirkungen" 
(Fehlverhalten einer Komponente) den globalen Auswirkungen 
zugeordnet. Hierdurch werden komplexe Abhangigkeiten zwischen 
strukturinternen Fehlerabhangigkeiten und globalen Auswirkungen 
. erkennbar . 

Das im folgenden beschriebene Verfahren stellt bzgl . der 
Ursachenanalyse einen „bottom-up« -Ansatz dar, da ausgehend von 
einem potentiellen Fehlverhalten die moglichen Ursachen dafur 
identifiziert werden. Die Vorgehensweise wird nun anhand des 
oben erlauterten Beispiels und der bereits dargestellten 
Schritte 1-7 erklart: 



Schritt 1 : Globale Auswirkungen identif izieren 

Globale Auswirkungen ergeben sich bei Betrachtung der 
Systemschnitts telle zur Umgebung. Die Aktuatoren, welche von dem 
betrachteten Subsystem angesteuert werden, reprasentieren die 
Schnittstellen zur Umgebung. In dem hier betrachteten Kontext 
bedeutet Umgebung das Kraf tf ahrzeug als Ganzes . Die Aktuatoren 
fiir das in Figur 2 und Figur 3 dargestellte Beispielsystem sind 
das Bremssystem bzw. in der Detaillierung der Bremsaktuator, der 
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Vortrieb und das Bremslicht. Es werden lediglich solche globalen 
Auswirkung betrachtet und z.B.in einem Computer system erfaSt, 
die von dem zu untersuchenden Subsystem zu verantworten sind. So 
ist es z.B. nicht sinnvoll das Adaptive Cruise Control (ACC) 
Subsystem, welches das Bremssystem ansteuert, fur einen 
Totalverlust der Bremswirkung verantwortlich zu machen. Diese 
Zusammenhange sind mittels Zuordnungstabellen oder 
Expertensystemen erfassbar und werden im Verf ahrensverlauf durch 
das Computersystem zugreifbar zur Verfugung gestellt. Bei 
iterativem Vorgehen konnen dann je nach Iterationsvorgang 
unterschiedliche Zusammenhange in oben dargestellter Form 
Anwendung finden. Dies gilt auch fur das weitere Vorgehen wie 
nachfolgend beschrieben. 

Far das in Figur 2 dargestellte Beispiel konnen beispielsweise 
die nachfolgenden globalen Auswirkungen identif iziert werden: 

□ Beschleunigungswirkung -> Vortrieb 

• Unkontrollierte Beschleunigung 
o Beschleunigung zu stark 

o Beschleunigung zu schwach 

• Keine Beschleunigung 

□ Bremswirkung -> Bremsaktuator 

• Keine Bremswirkung 

• Zu geringe Bremswirkung 

□ Signalisierung -> Bremslicht 

• Keine Anzeige 

. Kontinuierliche Anzeige (enthalt Szenario Bremslicht 
leuchtet, obwohl nicht gebremst wird) 

In Figur 4 ist der Tabellenkopf mit den globalen Auswirkungen 
der CSA-Tabelle dargestellt. 



Schritt 2 = Globale Auswirkungen bewerten durch Sicherheitsstuf en 
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Die Bewertung der globalen Auswirkungen erfolgt in Anlehnung an 
die Anforderungsklassen, die in der DIN V 19250 definiert sind. 
Die Anforderungsklassen in der Norm sind allgemein ftir MSR- 
Schutzeinrichtungen (MSR - Messen, Steuern, Regeln) definiert. 
Die voraussetzungen, die dort festgelegt sind, lassen sich nicht 
direkt auf Kraf tf ahrzeuge ubertragen. In dieser Norm fliefcen die 
Punkte 

□ Aufenthaltsdauer im Gef ahrenbereicfi 

□ eine oder mehrere Personen sind von den potentiellen 
Auswirkungen eines Fehlers betroffen 

in die Bewertung ein. Bei Kraf tf ahrzeugen ist die 
Beriicksichtigung dieser Falle hingegen nicht sinnvoll. Sie sind 
unter der Pramisse zu betrachten, dass beim Betrieb bestimmter 
Maschinen eine Person, welche die Maschine bedient, diese von 
einem Pruf stand aus betatigt und nur unter bestimmten 
Voraussetzungen far eine begrenzte Zeitdauer, z.B. bei 
Wartungsarbeiten, einer potentiellen Gefahr ausgesetzt ist. Im 
Kraftfahrzeug ist man hingegen standig einer potentiellen Gefahr 
ausgesetzt. AuSerdem konnen immer mehrere Personen von den 
Auswirkungen eines Fehlers betroffen sein. Bei Beachtung dieser 
Einwendungen kommt man zu angepassten „Anf orderungsklassen" ftir 
Automobile, die im Rahmen der CSA als Sicherheitsstuf en (engl. 
safety level - SL) bezeichnet werden. Die Zuordnung der 
Sicherheitsstufen zu Fehlerauswirkungen ist in dem Risikograph 
von Figur 5 dargestellt. 

Es wird unterschieden, ob eine Auswirkung im Einzelfall oder im 
Regelfall auftritt. Im Einzelfall bedeutet, dass in der 
tiberwiegenden Mehrheit der Falle nicht mit der entsprechenden 
Auswirkung gerechnet werden muss. Den Sicherheitsstufen konnen 
Ereignishaufigkeiten zugeordnet werden. Eine solche 
Ereignishaufigkeit ist als SollgroSe zu verstehen, die von der 
spateren Realisierung einer Komponente mindestens zu erfiillen 
ist. Eine a priori Verifikation der Ereignishaufigkeiten ist in 
der Regel nicht moglich, da verlassliche Daten oft erst nach 
einem Serieneinsatz zur Verftigung stehen. Es ist jedoch moglich 
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den mit einer Sicherheitsstuf e verbundenen Sollwert der 
Ereignishauf igkeit nachtraglich mit einem erfassten Istwert zu 
vergleichen. Tritt hierbei eine Abweichung auf, d.h. ist die 
tatsachlich ermittelte Ereignishauf igkeit groSer, als die 
zulassige Ereignishauf igkeit einer Sicherheitsstuf e, so mttssen 
MaSnahmen zur Reduktion der Ereignishauf igkeit getroffen werden. 
in Figur 6 ist die Bewertung der globalen Auswirkungen des 
Bremssystems durch Sicherheitsstuf en abgebildet. Bin Bremssystem 
ist eine aufcerst wichtige Funktionalitat eines Kraf tf ahrzeugs , 
die unter alien Umstanden gewahrleistet sein muss. Die globale 
Auswirkung „keine Bremswirkung" stellt im Regelfall eine 
Bedrohung far Leib und Leben dar, die vom Fahrzeugf uhrer nicht 
beherrschbar ist. Deshalb muss hier die Sicherheitsstuf e SL4 
vergeben werden. Fur die Auswirkung „keine Beschleunigung" wird 
die Sicherheitsstufe SLl vergeben, weil hier im Regelfall davon 
ausgegangen werden kann, dass mit maximal leichten Verletzungen 
zu rechnen ist, z.B. durch Auf f ahrunf alle mit geringer 
Geschwindigkeitsdifferenz. In Einzelf alien kann eine Gefahr fur 
Leib und Leben bestehen, die jedoch beherrschbar ist, z.B. 
einschalten der Wamblinkanlage . 

Urn im folgenden eine ilbersichtliche Darstellung zu erhalten wird 
. auf die Verfeinerung der Tabellenspalte „Unkontrollierte 
Beschleunigung" verzichtet. 



Schri£t 3 : Funktionsstruktur-Fehler-Ursachenanalyse 
Bei der Ursachenanalyse wird die Frage gestellt: Was verursacht 
ein Fehlverhalten einer Komponente {Moment enver teller , Vortrieb, 
Bremssystem, Bremssystemkoordinator , Bremsaktuator , Bremslicht}? 

Die Ursachenanalyse unter sucht, wodurch ein Fehlverhalten der 
CARTRONICf-Komponenten {Momentenverteiler , Vortrieb, 
Bremssystem, Bremssystemkoordinator, Bremsaktuator, Bremslicht} 
bedingt sein konnte. Untersucht wird ein Fehlverhalten von 
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Komponenten und ihren Detaillierungen, soweit diese bekannt 
sind. Zur ursachenanalyse wird die CARTRONIC'-Funktionsstruktur 
des betrachteten Systems in die Kopfzeile „Funktionsstruktur » 
der CSA-Tabelle ubernommen. AuEerdem wird die CARTRONIC*- 
Funktionsstruktur in die Spalte „ Fehlverhalten Komponenten" 
ubernommen. (siehe Figur 7) . 

Falls ein FS-Fehler in einer Komponente ein Fehlverhalten in der 
selben Komponente verursacht erfolgt die Zuordnung der 
Komponente aus der Funktionsstruktur zu einem Fehlverhalten der 
selben Komponente (Kennzeichnung mit „x" , vgl . Figur 7). 
Zusatzlich werden auch fur die Komponente relevante FS-Fehler 
der Kommunikationsbeziehungen beracksichtigt . Verursacht ein FS- 
Fehler einer Kommunikationsbeziehung ein Fehlverhalten, so 
erfolgt ebenfalls eine Zuordnung zur Funktionsstruktur, welche 
die Art und den Namen der betrachteten Kommunikation wiedergibt. 
Die Art der Kommunikationsbeziehung wird mit dem 

groSgeschriebenen Anf angsbuchstaben des englischen Ausdrucks der 
Kommunikation bezeichnet. Folglich wird fur einen Auftrag (engl. 
Order) ein „0" , far eine Anforderung (engl. Request) ein „R" 
und far eine Abfrage (engl. Inquiry) ein „I" verwendet. Der Art 
der Kommunikation folgt ein Unterstrich , dem sich der Name 

der Kommunikationsbeziehung anschlieSt (z.B. I_I1) . 
Bei der Ursachenanalyse far ein Fehlverhalten einer Komponente 
wird die 

□ Kamponente selbst, sowie 

□ ankommende Auftrage 

□ ankommende Anf orderungen 

□ abgehende Abf ragen 

betrachtet . 

Im weiteren Verlauf werden die Fehlerabhangigkeiten untersucht. 
Es wird somit ermittelt, welche weiteren Komponenten und 
Kommunikationen fur ein Fehlverhalten der betrachteten 
Komponente verantwortlich sein konnen. Hierfar werden die in der 
Spalte M einer Komponente stehende (n) Kommunikation (en) 
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zuruckverfolgt und die neu gefundene(n) Komponente (n) in der 
selben Zeile dem Komponentenf ehlverhalten zugeordnet. Eine der 
neu gefundenen Komponenten dient als neuer Ausgangspunkt . Die 
dieser Komponente zugeordnete (n) Kommunikation (en) werden 
ermittelt und in der Spalte M der entsprechenden Komponente 
aufgenommen. Es werden wiederum die dieser Komponente 
zugeordneten Kommunikationen zuruckverfolgt. Damit werden neue 
Ausgangskomponenten gefunden. Dieser Vorgang wird so lange 
iterativ fortgefuhrt, bis keine weiteren Kommunikationen 
vorhanden sind bzw. alle erreichbaren Komponenten durchlaufen 
wurden (vgl . nachf olgendes Beispiel und Figur 8). 



Beispiel: 

Ein Fehlverhalten der Komponente Momentenverteiler (fc x ) hat 
die Ursache darin, dass ein Komponentenf ehler in der 
Komponente Momentenverteiler (fc x ) selbst, ein 

Kommunikationsfehler in der Abfrage II oder der Anforderung Rl 
Oder der Anforderung R2, ein Komponentenf ehler in der 
Komponente Vortrieb (fc 3 ) oder ein Kommunikationsfehler im 
Auftrag 02 bzw. ein Komponentenf ehler in der Komponente 
Bremssystemkoordinator (fc 21 ) oder im Auftrag 01 aufgetreten 
ist . 

Ein Fehlverhalten der Komponente Bremssystem (fc 2 ) hat die 
Ursache darin, dass entweder ein Komponentenf ehler in dem 
Bremssystem (fc 2 ) selbst vorliegt oder ein 

Kommunikationsfehler im Auftrag Ol oder ein Komponentenf ehler 
im Momentenverteiler (fc,) mit den hier zu berucksichtigenden 
potentiellen Kommunikationsf ehlern Anforderung Rl, Anforderung 
R2 und Abfrage II oder ein Fehler in der Komponente Vortrieb 

(fc 3 ) oder ein Kommunikationsfehler im Auftrag 02 aufgetreten 

ist . 

Die Eintrage in der CSA-Tabelle fur das in Figur 2 dargestellte 
Beispiel, sind aus Figur 8, insbesondere Figur 8a, ersichtlich. 
Wird ein Fehlverhalten einer Komponente in der Verfeinerung 
betrachtet, so ist die Hiille fur die Ursachenanalyse nicht von 
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Interesse, da nur Kommunikationsbeziehungen von der hoheren 
Ebene in die' Verfeinerung weitergeleitet werden. Die Spalte 
Bremssystem {Bremssystem (fc a ) ist Halle von 
Bremssystemkoordinator und Bremsaktuator) der 
„Funktionsstruktur« muss far die Ursachenanalyse eines 
Fehlverhaltens der Komponente Bremssystemkoordinator (Zeile 
Bremssystemkoordinator (fc 21 ) in der Spalte „ Fehlverhalten 
Komponenten" ) nicht berticksichtigt werden. Bei der 
Ursachenanalyse eines Fehlverhaltens der Komponente Bremslicht 
ist es nicht notwendig die Analyse far die Komponente 
Bremssystem durchzuf Ohren , falls die Analyse fur die 
Verfeinerung der Komponente Bremssystem durchgefuhrt wurde. 
Mogliche Ursachen werden bei der Betrachtung der Verfeinerung 
(Bremssystemkoordinator und Bremsaktuator) bereits 
beracksichtigt . 

Die CSA Tabelle erlaubt somit eine Verfolgung von logischen 
Fehlerabhangigkeiten. Die Spalten der Funktionsstruktur nit 
vielen Eintragen z.B. Spalte Moment en verteiler (fcj und Spalte 
Vortrieb (fc 3 ) sind wichtige Komponenten, da sich dort ein 
Fehler auf groSe Telle des Systems auswirkt. 



Schrjtt 4 : Zuordnung eines Fehlverhaltens einer Komponente zu 
den globalen Auswirkungen 

Zunachst werden also die in Schritt 1 identif izierten globalen 
Auswirken den Komponenten zugeordnet, der en Fehlverhalten eine 
globale Auswirkung verursacht . Diese Komponenten sind die 
System-Schnittstellen (siehe Schritt 1) . 

Unter Schritt 1 ist diese Zuordnung bereits dargestellt. 

□ Beschleunigungswirkung ^ Fehlverhalten Vortrieb 

□ Bremswirkung ■» Fehlverhalten Bremsaktuator 

□ Signalisierung "> Fehlverhalten Bremslicht 

Diese Zuordnung in der CSA-Tabelle ist aus Figur 8b ersichtlich. 
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Durch die Fehlerabhangigkeiten, die in Schritt 3 ermittelt 
wurden, erhalt man eine Zuordnung der ubrigen Komponenten zu den 
globalen Auswirkungen. Dies erreicht man durch Betrachtung der 
Spalten der Funktionsstruktur fur die Zeilen der System- 
Schnittstellen (Fehlverhalten der Komponenten Bremsaktuator 
{fc 22 ), Vortrieb (fc 3 ) und Bremsllcht (fc 4 ) ). Jede Spalte der 
Funktionsstruktur, die einem Fehlverhalten der System- 
Schnittstellen zugeordnet ist, d.h. mit einem w x" 
gekennzeichnet ist, kann die selben globalen Auswirkungen 
verursachen. Der Hiille einer Detaillierung werden alle globalen 
Auswirkungen zugeteilt, die den Komponenten der Detaillierung 
zugeordnet sind. Das Resultat dieses Schrittes ist in Figur 8c 
dargestellt . 

Beispiel: 

Im folgenden wird die Komponente Momentenverteiler (fc 1 ) in 
der Funktionsstruktur betrachtet. Die Komponente 
Momentenverteiler (fc x ) in der Funktionsstruktur ist der Zeile 
Fehlverhalten Bremsaktuator (fc 22 ) zugeordnet, d.h. ein FS- 
Fehler in der Komponente Momentenverteiler kann ein 
Fehlverhalten des Bremsaktuators verursachen. Daraus kann 
gefolgert werden, dass ein Fehlverhalten der Komponente 
Momentenverteiler auch die globalen Auswirkungen des 
Bremsaktuators verursachen kann. Die globalen Auswirkungen 
eines Fehlverhaltens des Bremsaktuators („keine Bremswirkung" 
und „zu geringe Bremswirkung* x ) werden somit auch dem 
Fehlverhalten des Moment en verteilers zugeordnet. Au&erdem kann 
ein FS-Fehler in der Komponente Momentenverteiler (fc x ) ein 
Fehlverhalten des Vbrtriebs (fc 3 ) verursachen. Ein 
Fehlverhalten der Komponente Momentenverteiler kann somit auch 
die globalen Auswirkungen / ,unkontrollierte Beschleunigung" 
und „keine Beschleunigung" bewirken. Ein FS-Fehler in der 
Komponente Momentenverteiler (fcj kann ein Fehlverhalten des 
Bremslichts (fc 4 ) verursachen. Somit kann ein Fehlverhalten 
der Komponente Momentenverteiler die globalen Auswirkungen 
„keine Anzeige* und „kontinuierliche Anzeige u verursachen. 
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Ein Fehlverhalten des Br emssys terns (fc 2 ) als Hulle der 
Komponenten Bremssystemkoordinator (fc 21 ) und Bremsaktixator 
(fc 22 ) kaim die globalen Auswirkungen aller seiner Komponenten 
in der Detaillierung verursachen. 

Schritt 4.1 : Sicherheitsstuf en einem Fehlverhalten von 
Komponenten zuordnen 

Der Maximalwert der Sicherheitsstuf e der globalen Auswirkungen, 
der in einer Zeile einem Fehlverhalten zugeordnet ist wird in 
das entsprechende Element der Spalte SL eingetragen. Die 
Vorgehensweise ist in Figur 8d verdeutlicht . 

Schritt 5 : MaSnahmen zur Fehlererkennung \ind/oder Beherrschung 

Die folgenden beiden Tabellen enthalten MaiSnahmen zur 
Fehlererkennung und Beherrschung fur Komponenten (Tabelle 2) und 
Kommunikationsbeziehungen (Tabelle 3) . 
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Tabelle 2: Zusammenstellung von MaSnahmen zur -Fehlererkennung und 
Beherrschung fur funktionale Komponenten. 



Fehler- 

art 
(Ursache 
) 



MaSnahmen 



Fehlererkennung 



Fehlerbeherrs chung 



4-> 

o 

-P 

0) 

0) 

o 
ft 

i 



Bestatigung bzgl . 
Kommun i ka t i on s inha 1 t 

Funktionsredundanz 
Kontrollrechnung mit 
alternativen Eingangsgr5£en 
Kon troll r echnung / Ab f rage 
mit Ref erertzwerten oder 
Eingangsmustern 
uberwachung phys. und/oder 
elektr. GroSen bei 
bekannten Randbedingungen 

Zeitliche und logische 
Ablauf uberwachung 



Redundanz 
Abschaltung der 
fehlerbeeinf lussten 
Teilfunktion 

Abschaltung der Elektronik auf 
Fzg . -Grundf unktion 
Sicherer Abschaltzustand 
System bleibt fehlerhaf t in 
Betrieb 

Fehler beseitigen 

Situationsabhangige 

Strategieanderung zur 

Z ieler re i chung mit reduzierten 

Mitteln 

Zusatzliche Mittel 



Q) 

u 
u 

O 
CO 
r~i 
(d 
M-I 

-P 



u 

U 
0) 
PQ 



Bestatigung bzgl. 
Kommun i ka t i ons inhal t 
Funk t i ons r edundan z 
Kontrollrechnung mit 
alternativen EingangsgrGSen 
Kontrollr echnung/ Abf rage 
mit Ref erenzwerten oder 
Eingangsmustern 
Uberwachung phys. und/oder 
elektr. GroSen bei 
bekannten Randbedingungen 



Redundanz 
Abschaltung der 
fehlerbeeinf lussten 
Teilfunktion 

Abschaltung der Elektronik auf 
Fzg . -Grundf unktion 
.Sicherer Abschaltzustand 
System bleibt fehlerhaft in 
Betrieb 

Fehler beseitigen 
Situationsabhangige 
Strategieanderung zur 
Zielerreichung mit reduzierten 
Mitteln 

Zusatzliche Mittel 



■P 
M 
CD 



O 
U 
4J 

O 

a 



Bestatigung bzgl. 
Kommun i kat ions inhal t 
Funktionsredundanz 
Kontrollrechnung mit 
alternativen EingangsgrSfien 
Kontrollrechnung/Abfrage 
mit Ref erenzwerten oder 
Eingangsmustern 
Uberwachung phys. und/oder 
elektr. GroSen bei 
bekannten Randbedingungen 



Redundanz 
Abschaltung der 
f ehl e r be e inf lus s t en 
Teilfunktion 

Abschaltung der Elektronik auf 
Fzg. -Grundf unktion 
Sicherer Abschaltzustand 
System bleibt fehlerhaft in 
Betrieb 

Fehler beseitigen 
Situationsabhangige 
Strategieanderung zur 
Zielerreichung mit reduzierten 
Mitteln 

Zusatzliche Mittel 



WO 03/075104 



- 24 - 



T/DE03/00329 



Tabelle 3 : Zusammenstellung von MaSnahmen zur Fehlererkennung und 
Beherrschung fur Kommunikationsbeziehungen 



Fehlerarfc 


Mafinahmen 


(Ursache) 


Fehlererkennung 


Fehl erbeher r s chung 




• Bestatigung bzgl . 


• Redundanz 




Kommunikat ions inha It 


• Abscha It uncr der 






f phi prbppi nflussten 




• Konlroll rerhnuncr itiifc 


Teilfunktion 


> 


alternativen 


• Abschaltung der Elektronik auf 


-U 
At 


EingangsgroSen 


Fzg . -Grundf unktion 


(d 


• Kontrollrechnung/Abf rage 


• Sicherer Abschaltzu stand 


4-> 


mit Ref erenzwerten oder 


• c-vro t- om VjI pi Hi - "Fphlpii^haf fc in 


M 

0) 


Eingangsmustern 


Betrieb 


•H 
i-l 


• Uberwachung der 


• Fehler beseitigen 


i-l 
O 


Ubertragungswege 


• bituacionsaDiianyiye 


u 

4_) 


• Uberwachung phys . und/ oder 


Qf*Y*pf*prr"i pSnHPTiinrr *7iiT* 

Zielerrei chung mit reduzierten 


a 
/■\ 


elektr. GroSen bei 




bekannten Randbedingungen 


Mitteln 




• Zeitliche und logische 


• Zusatzliche Mittel 




Ablauf uberwachung 


• Zieic— una 




• Dynamische Formulierung 






von Kommunikationen und 




errechneten Werten 






• Bestatigung bzgl. 


• Redundanz 




Kommuni ka t i on s inha 1 t 


• 7\V~)c?r*Vi^ 1 1~nricf del" i 




• Funk t i ons r edundanz 


f ehlerbeeinf lussten 




• Kontrollrechnung mit 


Teilfunktion 




alternativen 


• Abschaltung der Elektronik auf 




Eingangsgrofien 


Fzg . -Grundf unktion 


tn 


• Kontrollrechnung/Abf rage 


• Sicherer Abschaltzustand 




mit Referenzwerten oder 


• System bleibt fehlerhaf t in 


4-> 

•r-l 


Eingangsmustern 


Betrieb 


<D 

rH 


• Uberwachung der 


• Fehler beseitigen 


r-J 


Ubertragungswege 


• Situationsabhangige 


■§ 


• Uberwachung phys. und/ oder 


Strategieanderung zur 


elektr. GroSen bei 


Zielerrei chung mit reduzierten 




bekannten Randbedingungen 


Mitteln 




• Zeitliche und logische 


• Zusatzliche Mittel 




Ablauf uberwachung 






• Dynamische Formulierung 






von Kommunikationen und 






errechneten Werten 
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• Bestatigung bzgl . 


• Redundanz 




Kommun i ka t ions inha 1 1 


• Abschaltung der 




• Funktionsredundanz 


fehlerbeeinflussten Teilfunktion 




• Kontrollrechnung mit 


• Abschaltung der Elektronik auf 


! 


alternativen EingangsgroSen 


Fzg . -Grundf unktion 


& 

u 


• Kontrollrechnung/Abfrage mit 


• Sicherer Abschaltzustand 


0) 


Ref erenzwerten oder 


• System bleibt fehlerhaft in 


H 

CD 


Eingangsmustern 


Betrieb 


• Uberwachung phys . und/ oder 


• Fehler beseitigen 


JJ 

3 


elektr. GroSen bei bekannten 


• Situationsabhangige 




Randbedingungen 


Strategieanderung zur 




• Zeitliche und logische 


Zielerreichung mit reduzierten 




Abl au f uberwachung 


Mitteln 
• Zusatzliche Mittel 




• Bestatigung bzgl. 


• Redundanz 




Kommun i kat i ons inhal t 


• Abschaltung der 


H 


• Funktionsredundanz 


fehlerbeeinflussten Teilfunktion 


3 4J 
N *H 


• Kontrollrechnung mit 


• Abschaltung der Elektronik auf 


Q) 


alternativen EingangsgroSen 


Fzg . -Grundf unktion 


• Kontrollrechnung/Abfrage mit 


• Sicherer Abschaltzustand 


E o 


Ref erenzwerten oder 


• System bleibt fehlerhaft in 


Eingangsmus tern 


Betrieb 


O iH 


• UJJcXwa Cxi Uliy piiy to . UX1U/ UUcrX. 


• Situationsabhangige 
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MaSnahmen zur Fehlererkennung und/oder Fehlerbeherrschung auf 
einer hohen Abstraktionsebene anzugeben gestaltet sich 
schwierig, falls noch keine konkrete Systemrealisierung 
vorhanden ist. Fur viele abstrakte Fehler in der CSA-Tabelle 
lassen sich nur dann wirksame und wirtschaf tlich sinnvolle 
Ma£nahmen zur Fehlererkennung und -beherrschung angeben, wenn 
diese realisierungsabhangig angegeben werden, d.h. fiir eine 
konkrete Systemtopologie. Bei realisierungsunabhangiger 
Betrachtung gibt es ansonsten zu viele Moglichkeiten, die auf 
abstrakter Ebene zur Losung angegeben werden konnen (vgl . 
Tabelle 2 und Tabelle 3) . Die Ma&nahmen geben Moglichkeiten zur 
Erkennung und Beherrschung der abstrakten Ursachen an. Diese 
abstrakten Ursachen konnen als Fehler-Modi (Fehlerarten) der 
allgemeineren FS-Fehler verstanden werden (vgl. Definition 3). 

Auf hoher Abstraktionsebene lassen sich MaSnahmen angeben, die 
schon in einer fruhen Entwicklungsphase of f ensichtlich sind. 

Dazu zahlen Matenahmen, welche die Fehlerausbreitung verhindern 
oder auf Plausibilitat basieren. So kann of f ensichtlich sein, 
dass ein Signal nur innerhalb bestimmter Grenzwerte liegen darf . 
Fehlerausbreitung kann durch Redundanz eingegrenzt werden. 
Redundant e Strukturen konnen in spateren Entwicklungsphasen, 
d.h. bei detaillierter Kenntnis der realisierten Topologie in 
kostengiinstige Mafenahmen umgewandelt werden. Ein Beispiel 
hierfur sind Codes zur Fehlererkennung und -korrektur. Die 
klar text lichen Angaben der Tabellen sind im Programm bzw. 
Computersystem durch Kodierungen verkurzbar und zuordenbar. 

Eine optimale Losung technischer und wirtschaf tlicher Art kann 
erst dann gefunden werden, wenn man einen Fehler innerhalb einer 
bekannten Topologie betrachtet . Wird fiir eine Abf rage die 
Ursache „liefert falsche Information" als kritisch 
identif iziert, so hangt die zu treffende Mafinahme sehr stark 
davon ab, wie die Abf rage realisiert ist. Wird der Wert 
innerhalb eines Prozessorsystems abgefragt (z.B. interner 
.Speicher), so ist evtl . keine MaSnahme zu treffen (eigensicher) 
bzw. man kann das Prozessorsystem als gesamte Einheit betrachten 
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und somit eine Vielzahl von Operationen mit einer einzigen 
MaSnahme iiberwachen, z.B. Watchdog-Timer. Lauft die 
Kommunikation iiber eine externe Verbindung (Kabel, Bussystem) , 
so muss die Verbindung/Nachrichteniibertragung eventuell 
5 redundant ausgelegt werden. Bei EMV Problemen gentigt es ggf - 

schon, wenn man eine Verbindung iiber ein geschirmtes Kabel ohne 
jeglichen zusatzlichen elektronischen Aufwand gewahrleisten 
kann. 



10 Schritt 6 : CARTRONIC® - Sicherheitsstruktur 

Die CARTRONICf-Darstellung eines Systems (dargestellt fur ein 
Beispiel in Figur 2) kann abgebildet werden in ein CARTRONIC®- 
UML Modell (Figur 3) . Dies erlaubt eine formalere 
Systemspezif ikation als CARTRONIC®. AuEerdem ist UML eine 

15 international genormte Sprache. Filr die Beschreibung einer 

Systemtopologie ist es jedoch erforderlich das bestehende 
CARTRONIC^-UML Modell zu erweitern. Die Erweiterung muss die 
Abbildung der MaSnahmen zur Fehlererkennung und -beherrschung, 
die Partitionierung der Funktionen auf Steuergerate und die 

20 Darstellung von zeitlichen und logischen Ablaufen umfassen. Die 

erweiterte Struktur kann zur Dokumentation der verwendeten 
Sicherheitsmafinahmen verwendet werden. Eine Darstellung, in 
welcher Struktur, Funktionalitat und Topologie enthalten sind, 
ist auch geeignet fur zukiinftige quantitative Systemanalysen, 

25 insbesondere zur automatisierten Durchf tihrung . 



Schritt 7 : Verif ikation 

Bei der Verif ikation wird iiberpruft, ob die Resultate der 
CARTRONIC® basierten Sicherheitsanalyse dazu fuhren, dass eine 
30 Produktspezif ikation erfiillt wird. Es wird untersucht, ob die 

vergebenen Sicherheitsstuf en den Anf orderungen der Spezif ikation 
entsprechen, ob also die zu erzielenden Sicherheitsstuf en mit 
vorgebbaren und somit zu erzielenden tiber e ins timmen . Ist dies 
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nicht der Fall, so kann eine weitere Iteration der CARTRONIC® 
basierten Sicherheitsanalyse durchlaufen werden. Dieser 
iterative Verbesserungsprozess wird so lange f ortgefiihrt , bis 
alle Anforderung der Spezif ikation bzw. der vorgegeben 
5 Sicherheitsstuf en erfiillt sind. 



In Figur 12 ist die Einordnung der CSA in einen 
Entwicklungsprozess dargestellt. Der verwendete 
Entwicklungsprozess orientiert sich am V-Modell. Das V-Modell 

10 ist ein Entwicklungs standard des Bundes fur IT-Systeme. Es ist 

moglich das V-Modell projektspezif isch an gegebene 
Randbedingungen anzupassen. Dieser Vorgang wird als Tailoring 
bezeichnet. Im V-Modell werden Tatigkeiten (Aktivitaten) und 
ihre Produkte festgelegt. Das fur den CARTRONIC® basierten 

15 Entwicklungsprozess angepasste inkrementelle, iterative V-Modell 

(IIV-Modell) wird auf den drei Ebenen Systemebene, 
Subsystemebene und Teilrealisierungsebene angewendet. Die 
Navigation im IIV-Modell erfolgt entlang der eingezeichneten 
Pfeile. Es ist moglich von der linken auf die rechte Seite einer 

20 Ebene des V-Modells (Testfalle) und zuriick (Iterationen) zu 

gelangen. Zwischen den Ebenen sind auch mehrere Inkremente 
moglich. Auf der Teilrealisierungsebene kann beispielsweise 
erkannt werden, dass zusatzliche Funktionen fur eine 
Realisierung benotigt werden. Es kann dann ein zusatzliches 

25 Inkrement durchlaufen werden indem auf der Subsystemebene die 

Funktionen und ihre Interaktionen eingefuhrt werden und diese 
dann ihrerseits auf der Teilrealisierungsebene realisiert 
werden. Auf der Systemebene wird das Kraf tf ahrzeug als Ganzes 
betrachtet. Die Subsystemebene detailliert das Gesamtsystem 

30 Kraf tf ahrzeug in Teilsysteme. Diese Teilsysteme konnen 

beispielsweise die Motors teuerung, das Bremssystem, das Getriebe 
oder ein Adaptive Cruise Control sein. Die Subsystemebene stellt 
die Teilsysteme des Kraf tf ahrzeugs noch realisierungsunabhangig 
dar, d.h. es wird lediglich die Funktionalitat nicht jedoch die 

35 technische Realisierung betrachtet. Auf der 

Teilrealisierungsebene wird jedes Subsystem weiter detailliert. 
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Es wird eine Entscheidung uber eine Topologie getroffen und ob 
eine Funktion als Software, Computer Hardware, Hydraulik, 
Elektronik, Elektrik, Mechanik etc. realisiert wird. 
Anschliefeend wird ein entsprechendes Subsystem erstellt und 
gegebenenf alls die Software implement iert . Auf jeder Ebene des 
IIV-Modells wird auf der linken Seite des V-Modells eine 
Anf orderungsanalyse durchgef uhrt und ein Entwurf angef ertigt . 
Die rechte Seite des IIV-Modells dient der Integration und der 
Verifikation des auf der entsprechenden Ebene erstellten 
Entwurf s. Auf der Systemebene kann zusatzlich zu den 
beschriebenen Vorgangen eine Validation durchgef uhrt werden. 
Eine Validation pruft, ob die Systemspez if ikation die an sie 
ges tell ten Anf orderungen erfullt. Die Verifikation hingegen 
uberpriift ein Produkt gegenuber der Spezif ikation. 

Die Vorgehensschritte Schritt 1 bis Schritt 5 werden in der 
Analysephase der Subsystemebene durchgef iihrt . Schritt 6 wird in 
der Entwurf sphase der Subsystemebene umgesetzt. Aufgrund der 
Uberlegungen in Schritt 5, namlich dass eine Konkretisierung von 
MaiSnahmen zur Fehlererkennung und Beherrschung haufig erst bei 
bekannter Systemtopologie sinnvoll ist, empfiehlt sich eine 
Detaillierung der SicherheitsmaSnahmen in Schritt 5 und Schritt 
•6 auf der Teilrealisierungsebene durchzuf uhren . In dieser Phase 
wird die Systemtopologie, d.h. die Parti tionierung der 
Funktionalitaten auf Steuergerate vorgenommen und die 
Ftinktionsrealisierungen festgelegt. Die CSA, wie sie hier 
beschrieben ist, wird also hauptsachlich auf der Subsystemebene 
angewendet. Es ist jedoch vorteilhaft die CSA auch auf der 
Teilrealisierungsebene f ortzuf uhren. Hier wird eine 
Anf orderungsanalyse durchgef uhrt, wie Sicherheitsma&nahmen in 
Abhangigkeit der Topologie und der Realisierung des Teilsystems 
zu gestalten sind und ein entsprechender Entwurf angef ertigt . 
Dieser Entwurf und seine Integration koimen auf der rechten 
Seite des IIV-Modells verifiziert werden. 
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Die gezeigte Erfindung kann automatisiert auf einem 

Computer system ablaufen. Dazu sind die einzelnen Schritte oder 

Teile dieser Schritte ebenso wie die Tabellen als 

Computerprogramm mit Daten und Befehlen darstellbar, so dass die 
5 Schritte 1 bis 7 als Programmcode abgespeichert werden konnen 

und in einer Einrichtung insbesondere einem Computer system zur 
Ausfuhrung gelangen um ein erf indungsgemafees Verfahren 
auszufuhren. Als Speicher bzw. Datentrager kann hierbei jede 
denkbare Form gelten wie z.B. CD-ROM, DVD, Diskette, EPROM, 
10 F 1 a s hEPROM , ROM, RAM, usw. wodurch ein Computerprogrammprodukt 

in Verbindung mit dem Computerprogramm vorliegt. Insbesondere 
eine Ubertragung des Programs via Netzwerken wie Internet von 
einem Speicher zu einem anderen Speicher bzw. Netzwerkteilnehmer 
fallt ebenfalls darunter . 
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10 Anspruche 

1. Verfahren zur Durchf iihrung einer Sicherheitsanalyse bei 
Systemen, insbesondere in einem Kraf tf ahrzeug, wobei die Systeme 
oder das wenigstens eine System aus mehreren Komponenten 

15 bestehen, zwischen denen Kommunikationsbeziehungen bestehen, 

wobei die Komponenten und deren Kommunikationsbeziehungen eine 
Funktionsstruktur der Systeme oder des wenigstens einen Systems 
bilden, dadurch gekennzeichnet , dass Fehler in Abhangigkeit von 
der Funktionsstruktur ermittelt werden und diese 

20 Fehlerabhangigkeiten beziiglich der Funktionsstruktur ausgewertet 

werden . 



2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die 
Fehlerabhangigkeiten in der Funktionsstruktur nachverfolgt 
25 werden, wodurch Fehlerpfade generiert werden, wobei globale 

Auswirkungen der Fehler als AbschluS der Fehlerpfade ermittelt 
werden . 



3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die 
30 Fehlerabhangigkeiten in der Funktionsstruktur nachverfolgt 

werden, wodurch Fehlerpfade generiert werden, wobei globale 
Auswirkungen der Fehler als AbschluE der Fehlerpfade ermittelt 
und bewertet werden. 
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4. Verfahren nach Anspruch 3, daciurch gekennzeichnet , dass die 
globalen Auswirkungen durch Ermittlung wenigstens einer 
Sicherheitsstuf e bewertet werden. 

5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
zusatzlich zu den Fehlerabhangigkeiten bezuglich der 
Funktionsstruktur Fehler ermittelt werden, welche ein 
Fehlverhalten einer Komponente oder einer 
Kommunikationsbeziehung bewirken. 

6. Verfahren nach Anspruch 2 oder 3 und 5, dadurch 
gekennzeichnet, dass Fehlverhalten einer Komponente oder einer 
Kommunikationsbeziehung zu den globalen Auswirkungen zugeordnet 



7. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass Mafenahmen zur Fehler erkennung und/oder 
Fehlerbeherrschung ermittelt werden. 

8. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass die Funktionsstruktur dahingehend erweitert 
wird, dass die globalen Auswirkungen und/oder dass Fehlverhalten 
einer Komponente oder einer Kommunikationsbeziehung 
beriicksichtigt wird. 

9. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass die Funktionsstruktur dahingehend erweitert 
wird, dass MaiSnahmen zur Fehler erkennung und/oder 
Fehlerbeherrschung einbezogen werden. 

10. Verfahren zur Erzielung einer vorgebbaren Sicherheitsstuf e 
bei Systemen, insbesondere in einem Kraf tf ahrzeug, wobei die 
Systeme oder wenigstens ein System aus mehreren Komponenten 
bestehen, zwischen denen Kommunikationsbeziehungen bestehen, 



werden . 
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wobei die Komponenten und deren Koramunikationsbeziehungen eine 
Funktionsstruktur der Systeine bilden, wobei Fehler in 
Abhangigkeit von der Funktionsstruktur ermittelt werden und 
diese Fehlerabhangigkeiten bezuglich der Funktionsstruktur 
ausgewertet werden mit folgenden Schritten: 

a) Verfolgung der Fehlerabhangigkeiten in der Funktionsstruktur 
und Generation von Fehlerpfaden sowie Ermittlung von globalen 
Auswirkungen der Fehler, 

b) Bewertung der globalen Auswirkungen in Abhangigkeit 
vor g ebbar er S i che rhe i t s s tu f en , 

c) Ermittlung von Fehlern, welche ein Fehlverhalten einer 
komponente oder einer Koinmunikationsbeziehung bewirken, 

d) Zuordnung des Fehlverhaltens einer Komponente oder einer 
Koinmunikationsbeziehung zu den globalen Auswirkungen 

e) Ermittlung von MaSnahmen zur Fehler erkennung und/oder 
Fehl erbeherrs chung , 

f ) Ermittlung der erzielbaren Sicherheitsstuf e und Vergleich der 
ermittelten Sicherheitsstuf e mit der zu erzielenden 
Sicherheitsstuf e und 

g) in Abhangigkeit von dem Vergleich erneuter Verfahr ens start 
bei a), bis die zu erzielende Sicherheitsstuf e erzielt ist. 

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet , dass 
zwischen den Schritten e) und f ) eine Dokumentation der 
Funktionsstruktur erfolgt. 

12. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass die Funktionsstruktur als CARTRONIC®- 
Funktionsstruktur unter Verwendung der UML dargestellt wird. 

13 . Einrichtung, insbesondere Computer system, zur Durchfuhrung 
eines Verf ahrens gema£ wenigstens einem der Anspruche 1 bis 12 . 
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14 . Computerprogramm, welches bei Ablauf in einer Einrichtung 
nach Anspruch 13 ein Verfahren gema£ wenigstens einem der 
Anspriiche 1 bis 12 ausfiihrt. 

5 15 . Computerprogrammprodukt, insbesondere ein Datentrager mit 

einem Computerprogramm nach Anspruch 14, welches bei Einbringung 
in eine Einrichtung nach Anspruch 13 ein Verfahren nach 
wenigstens einem der Anspriiche 1 bis 12 ausfiihrt. 
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